Iklan

Kerentanan SSL Heartbleed menjadi berita utama di seluruh dunia - dan pelaporan yang salah di media dan online menyebabkan kebingungan. Bagaimana Anda bisa tetap aman dan memastikan detail pribadi Anda tidak bocor?

Apa itu Heartbleed? Ya, Itu Bukan Virus

Anda mungkin pernah mendengar Heartbleed dideskripsikan sebagai virus. Ini bukan masalahnya: sebenarnya, ini adalah kelemahan, kerentanan di server yang menjalankan OpenSSL. Ini adalah implementasi open source dari SSL dan TLS, protokol yang digunakan untuk koneksi aman - yang dimulai https: // daripada yang biasa http: //.

muo-heartbleed-help-https

Kerentanan ini - lebih sering disebut sebagai bug - pada dasarnya menciptakan lubang di mana peretas dapat menghindari enkripsi. Dikonfirmasi pada 7 Aprilth 2014, ini terjadi di semua versi OpenSSL kecuali 1.0.1g. Ancaman terbatas pada situs yang menjalankan OpenSSL - pustaka SSL dan TLS lainnya tersedia, tetapi OpenSSL digunakan secara luas di server di seluruh web. Perbaikan untuk masalah ada, tetapi ini mungkin belum diterapkan ke situs web yang Anda kunjungi secara teratur untuk kegiatan yang aman. Ini mungkin belanja online, perjudian, dan situs web bertema dewasa lainnya atau bahkan jejaring sosial.

instagram viewer

Akibatnya, segala macam informasi pribadi dan keuangan dapat berisiko.

Untuk mendapatkan gambaran seberapa besar kesepakatan Heartbleed (dan mengapa disebut demikian), Ryan baru-baru ini menempatkan bug yang menjangkau Internet ini ke dalam konteks Bug Masif dalam OpenSSL Membuat Banyak Internet BerisikoJika Anda salah satu dari orang-orang yang selalu percaya bahwa kriptografi open source adalah cara paling aman untuk berkomunikasi online, Anda akan mendapat sedikit kejutan. Baca lebih banyak . Kita harus menggarisbawahi bahwa Heartbleed adalah kerentanan berbasis Internet dan karenanya memengaruhi pengguna semua sistem operasi, desktop, dan seluler.

Jadi, ini masalah besar - tapi apa yang bisa Anda lakukan?

Abaikan Hype & Jangan Panik

Nah, ada satu hal yang tidak boleh Anda lakukan: panik. Banyak yang telah ditulis di Internet dan di media cetak dalam beberapa hari terakhir dan banyak di antaranya gembar-gembor, malapetaka porno yang akan menempatkan efek dari siaran radio Orson Welles yang terkenal di World of the Worlds malu.

muo-heartbleed-help-dontpanic

Banyak dari apa yang telah Anda lihat akan dirakit dari rilis pers dan lainnya laporan oleh jurnalis yang tidak terbiasa dengan terminologi dan kurangnya pemahaman yang jelas tentang risiko.

Misalnya, Anda mungkin tahu bahwa Anda harus segera mengganti kata sandi (tidak sepenuhnya benar, kami harus menambahkan - lihat di bawah). Tetapi apakah Anda tahu tentang risiko phishing?

Risiko Phishing

Layanan web, bank, dan jejaring sosial yang bertanggung jawab yang terkena dampak Heartbleed akan menjatuhkan Anda email untuk memberi tahu Anda bahwa mereka telah memperbaiki kerentanan dan menyarankan agar Anda mengubah kata sandi.

Tentu saja, Anda harus melakukan ini - tetapi sadarilah bahwa situasi ini menghadirkan peluang ideal bagi phisher untuk mulai mengirim email palsu, lengkap dengan tautan tertanam ke halaman "ubah kata sandi" - pada kenyataannya, situs web yang dirancang untuk memanen Anda detail.

muo-heartbleed-help-pinterest

Tak satu pun dari layanan yang Anda gunakan harus merekomendasikan Anda mengklik tautan ubah kata sandi dalam email yang dikirim email yang tidak diminta. Sayangnya, IFTTT melakukannya, seperti yang dilakukan Pinterest (di atas). Ini adalah praktik buruk dan memberi kesan bahwa tautan seperti itu dapat diterima dan harus diklik.

Kecuali Anda telah meminta email, tautan seperti itu tidak boleh diklik.

Email pengaturan ulang kata sandi yang menyentuh hati tidak boleh menyertakan tautan masuk. Jika ya, hapus, lalu kunjungi situs web dengan mengetikkan alamat di browser Anda (atau memilihnya dari histori atau favorit tergantung pada bagaimana Anda menggulungnya). Dari sana, setel ulang kata sandi Anda ...

... tetapi hanya jika Anda benar-benar perlu pada tahap ini.

Sayangnya, kebutuhan yang digerakkan oleh PR bagi perusahaan untuk terlihat seperti mereka melakukan sesuatu tentang ancaman seperti Heartbleed dapat terbukti sama merusaknya dengan ancaman itu sendiri.

Jadi, Haruskah Anda Mengubah Kata Sandi Anda?

Salah satu bagian utama dari saran Heartbleed yang beredar adalah Anda harus segera mengganti kata sandi.

Mereka semua.

Sayangnya, ini adalah contoh informasi yang salah yang saya sebutkan di intro. Katakanlah Anda menggunakan kata sandi yang sama untuk beberapa situs web. Pertama-tama, ini adalah praktik buruk dan Anda harus mempertimbangkan kembali melakukannya di masa depan (belum lagi buat kata sandi yang lebih aman Kata Sandi Aman: Hasilkan Kata Sandi yang Berbeda Untuk Setiap Situs Web Baca lebih banyak ).

muo-heartbleed-help-password

Kedua, jika Anda mengubah semua kata sandi tanpa pandang bulu, kemungkinan Anda akan melakukannya di situs web yang tidak berjalan di server yang ditambal - yang di mana Heartbleed masih a kerentanan.

Secara tidak sengaja Anda berpotensi membagikan kata sandi lama dan kata sandi baru Anda dengan orang-orang yang dapat mengeksploitasi kerentanan untuk penipuan identitas mereka dan operasi spam.

Dengan demikian, Anda hanya boleh mengganti kata sandi berdasarkan situs-demi-situs ketika Anda tahu mereka telah ditambal - yaitu, perbaikan telah diterapkan dan kerentanan ditutup.

Periksa Situs Web mana yang telah ditambal

Mulailah dengan memeriksa situs web mana yang bebas dari kerentanan Heartbleed.

Ada dua cara untuk melakukan ini. Pertama, pergi ke Mashable di mana a Daftar terbaru dari situs web nama besar yang terkena dampak Heartbleed dapat ditemukan, bersama dengan saran, apakah Anda harus mengubah kata sandi atau tidak.

Untuk situs web yang lebih kecil, alat pencarian yang sangat baik ini akan memberi tahu Anda secara langsung apakah situs tersebut telah ditambal atau tidak.

Alternatif adalah Pemeriksa Chromebleed ekstensi untuk Google Chrome.

Jika situs web yang Anda gunakan telah terpengaruh dan belum menambal kerentanan Heartbleed, hindari masuk hingga situasinya diselesaikan.

Kesimpulan: Ini adalah Game yang Menunggu

Menghadapi badai Heartbleed seharusnya tidak menjadi masalah bagi kebanyakan orang. Berpegang teguh pada kursus yang kami sarankan di atas, dan jangan ubah kata sandi sampai Anda diperintahkan untuk melakukannya oleh situs web dan layanan yang sesuai.

muo-hati-membantu-hati

Anda juga dapat menggunakan alat baru untuk memeriksa apakah situs web yang Anda rencanakan untuk dikunjungi (atau bahkan yang Anda jalankan) telah terpengaruh, dan apakah perbaikan telah diterapkan.

Yang terpenting, tetap aman dan bersabar. Potensi Heartbleed untuk menyebabkan masalah besar masih ada - hindari situs web mana pun yang perlu ditambal sampai Anda tahu bahwa mereka sekarang aman.

Kredit Gambar: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Jangan Panic Button via Shutterstock, Kata sandi melalui Shutterstock

Christian Cawley adalah Wakil Editor untuk Keamanan, Linux, DIY, Pemrograman, dan Penjelasan Teknologi. Ia juga memproduksi The Really Useful Podcast dan memiliki pengalaman luas dalam dukungan desktop dan perangkat lunak. Sebagai kontributor majalah Linux Format, Christian adalah seorang penggerutu Raspberry Pi, pencinta Lego dan penggemar game retro.